ISO 27002基础指南：全面的概述

考虑为您的组织获得ISO 27002认证吗？本指南将帮助您做出决策。

ISO 27002旨在作为ISO 27001框架的补充。对于那些需要处理信息安全性以及隐私保护相关问题的企业来说，ISO 27002无疑是一份非常重要的参考资料。 本文探讨了ISO 27002标准的内容，以及组织如何运用该标准来提升其信息安全水平。

ISO 27002是什么？

ISO 27002是一种全球性的领先标准。实施信息安全系统的控制措施ISO 27002旨在作为ISO 27001框架的补充。对于那些需要处理信息安全相关事务的企业来说，ISO 27002是一种非常重要的参考资料。本文探讨了ISO 27002标准的内容，以及企业如何运用该标准来提升自身的信息安全水平。

主要要点/关键信息

• ISO 27002是一种……作为对ISO 27001标准的补充，它包含了关于信息安全管理措施的相关信息。27002标准为各组织提供了关于如何满足ISO 27001要求的指导。在构建符合该标准的信息安全管理系统时，这一标准是非常重要的工具。
• ISO 27002能够提升安全意识，并帮助选择适当的控制措施来降低风险。此外，它还能……这有助于更容易地获得ISO 27001认证，让企业能够更好地控制自己的信息资产，同时还能增强客户和合作伙伴之间的信任。
• 27002框架包含以下内容：93个控制项被分为四个领域。控制领域包括密码学、威胁情报、人力资源安全、物理安全、访问控制、安全编码、业务连续性，以及云服务的保护。
• 27002标准的核心要求这包括对信息安全风险进行记录和评估。企业在实施相关措施之前，应先研究附件A中的控制措施，进行差距分析，并将这些控制措施与组织的实际情况相结合。

ISO 27002的目的是什么？

ISO 27002是国际标准化组织（ISO）和国际电工委员会（IEC）所维护的信息安全标准体系的一部分。

ISO/IEC制定ISO 27002的目的，是为了填补其信息安全标准体系中的空白。

ISO 27001的附录A列出了各种安全控制与政策。不过，它并没有提供关于如何实施这些控制的详细信息。ISO 27002则提供了相关的信息。帮助各组织构建信息安全管理系统。此外，它还补充了ISO 27001标准的内容，为相关方提供了关于合适的安保技术和控制措施的建议。

ISO 27002提供了多种最佳实践方案。适用于ISO 27001附录A所涵盖的领域。它为物理安全、访问管理、人力资源管理以及信息安全管理系统的构建等方面提供了国际标准。

各组织可以利用ISO 27002标准来制定信息安全控制措施，从而保护机密数据，防止数据泄露事件的发生。与ISO 27001标准相结合后，ISO 27002标准使得针对所有信息资产实施基于风险的控制措施变得更加容易。

ISO 27002的益处

在创建信息安全管理体系时，组织不必引用ISO 27002标准。不过，该框架中包含了许多相关的实践和建议。遵循ISO 27002标准的其他好处包括：

• 提升了安全意识各组织可以利用ISO 27002标准来评估自己的选择，并找到能够降低关键风险的控制措施。如果不遵循ISO的指导原则，企业可能会错过一些有价值的安全技术。
• 更平稳的ISO 27001认证流程ISO 27001认证要求实施相关且有效的控制措施。ISO 27002文件列出了可能的控制方案，从而降低外部审计失败的风险。
• 持续遵守规定/持续合规根据ISO标准，需要持续监控以确保各项要求得到遵守，并在必要时采取必要的纠正措施。ISO 27002有助于实施审计和日志记录系统。通过持续管理风险，可以在需要时采取相应的控制措施来解决问题。
• 更好的资产管理遵循ISO 27002标准的组织，能够更严格地控制资产存储与使用方式，以及信息的删除过程。这种合规性措施有助于提升人们对敏感信息资产的重视程度。此外，健全的信息安全控制措施还能有效防止未经授权的访问行为。
• 客户与利益相关方的信任采用ISO 27002标准的企业，可以利用其信息安全管理体系来证明他们致力于保障信息安全与隐私保护。遵守这些标准能够提升客户或供应商对公司的信任，从而有助于维护良好的合作关系。
• 尖端的安全技术ISO 27002中的信息安全控制措施会定期更新，以反映最新的技术发展水平。例如，ISO 27002:2022标准中包含了关于安全云服务、网络安全以及威胁情报方面的宝贵建议。
• 简化合规流程。像GDPR和HIPAA这样的法规，都要求企业拥有健全的信息安全管理制度。ISO 27002中包含了多种隐私保护技术，比如数据掩蔽、网络访问控制以及物理层面的安全措施。企业可以根据自身需求，选择适合的安全控制措施来符合这些法规要求。
• 效率提高，成本降低。那些专注于防止数据泄露的公司，其发生的安全事件数量较少。符合ISO 27002标准的公司，在解决问题以及向用户赔偿方面所付出的成本也较低。此外，这类公司还能更容易地留住那些重视安全的客户。

ISO 27002控制清单

更新的ISO 27002:2022框架包含了104项信息安全控制措施。这些更新的控制措施涵盖了以下主要领域：

访问控制

根据第5.15条的规定，组织应对所有信息资产实施合理的访问权限管理。ISO/IEC 27002:2022允许组织选择符合其需求的访问管理系统。不过，访问权限应始终仅限于那些有业务需求的个人。

威胁情报

ISO 27002的5.7节要求，各组织必须……收集、分析并理解威胁情报这一过程旨在识别潜在的威胁，对信息资产所面临的风险进行分类，并采取适当的缓解措施。

根据ISO 27002标准，威胁情报必须满足以下条件：

• 相关/有关各组织应只关注那些对其核心资产构成实际威胁的威胁。
• 敏锐的感知能力情报部门必须考虑所有可能的攻击途径。
• 上下文相关分析师必须了解各种威胁是如何影响信息安全的。
• 可操作的/有实际意义的情报应该被用来采取缓解措施以及加强防御措施。
  
  

安全团队应该从战略的角度来审视整体威胁环境。他们应当收集有关攻击方式的运营数据。同时，他们还需要获取关于当前威胁的战术性信息。

信息安全与云服务的使用

2022版的ISO 27002标准包含了大量关于如何保护由云存储的信息资产的安全方面的指导内容。

该框架中的第5.23节向各组织提供了相关建议。获取、使用以及终止云服务。本节采用基于风险的方法来使用云服务。其核心目标是确保数据的可用性、完整性以及保密性。

根据ISO的标准，执行第5.23节的内容是一项需要协作完成的任务。云用户必须与供应商合作，以获取云中的相关信息。相关的安全问题包括：

• 选择云服务提供商
• 云服务提供商与客户之间的角色与责任分配
• 使用云平台提供的安全服务
• 与云服务提供商建立稳定的合作关系
• 在云端实现安全的管理变更
• 处理与云相关的安全事件
• 云服务如何融入信息安全管理系统之中？

企业持续运营所需的ICT基础设施准备情况

ISO 27002的第5.30节涉及的内容是：确保在出现不利情况时，信息通信技术能够持续正常运行。本部分的核心目的是在发生安全事件时，保护数据的完整性和保密性。

ISO 27002建议，在实施第5.30节所提出的控制措施之前，企业应先进行业务影响分析。这些控制措施应与企业的发展方针和目标保持一致，包括恢复时间目标（RTO）。

RTO应考虑到各种不同的情况。例如，整个企业范围内发生中断的情况，其恢复时间可能比单个数据中心出现故障时的恢复时间要长。连续性计划还应包含风险评估信息，在攻击导致敏感数据受损时，应给予更多的恢复时间。

连续性计划需要定期进行测试。应该有一个明确的领导层计划来指导恢复过程。此外，这些计划还应包含关键指标，比如对重要资产进行恢复的基准目标。

监控物理安全状况

ISO 27002中的控制条款7.4涉及的内容是：物理场所的安全要求物理安全包括管理物理访问系统，确保只有经过授权的人员才能访问机密数据。

各组织应实施有效的控制措施，以检测未经授权的入侵者。这些入侵者包括外部人员以及那些没有获得适当授权的工作人员。物理安全监控应该能够应对各种风险，包括：

• 员工设备的盗窃行为
• 使用不安全的外部设备会导致恶意软件感染。
• 由于访问控制不当而导致的数据泄露问题
• 因疏忽而导致的数据丢失
  
  

推荐的控制措施取决于安全环境。这些措施可能包括监控摄像头、警报系统以及人工警卫等。此外，控制措施还涵盖诸如锁具或卡片扫描仪之类的控制系统。

配置管理

ISO 27002中的控制列表第8.9节涉及的内容是：以安全的方式配置系统。企业必须为处理机密数据的软件或硬件实施安全配置。

配置管理包括更改默认密码，以及遵循供应商提供的关于最佳实践的指导方针。确保每个资产都有负责其安全管理的人员，这一点也非常重要。

每种资产都应有一套配置策略，以定义其安全配置。这些策略的组成部分包括：定义访问权限、管理身份信息，以及控制对第三方软件的访问。日志记录系统还应能够检测各种安全问题。

信息删除

第8.10节要求采用以下资产管理实践：安全地删除信息一旦该项目的商业可行性或监管要求不再适用，就不应该让未经授权的个人能够恢复那些数据。

ISO 27002建议，当数据不再需要时，应将其删除，以避免不必要的信息泄露。企业应当记录这些删除操作。如果企业使用了第三方供应商，则还应要求对方确认数据的确实被删除。

对于信息系统而言，还有特定的删除规范。例如，应删除所有临时文件以及应用程序的旧版本。此外，还需要对磁性介质进行消磁处理以彻底清除其中的信息。企业还可能需要物理上销毁那些外部存储设备。

数据掩蔽

第8.11节向各组织提供了相关建议。如何对数据进行伪装，以确保达到适当的匿名级别。数据掩蔽技术尤其适用于那些需要处理个人身份信息的行业，比如医疗保健和金融领域。

ISO 27002提供了关于如何在匿名化处理与完全匿名化之间做出选择的建议。它还包括了关于如何将经过匿名处理的数据与其他信息分开存储的建议。此外，它还涵盖了与第三方共享经过匿名处理的数据的相关流程。

数据泄露预防

数据泄露预防是任何信息安全管理系统的核心任务。ISO 27002的第8.12节中包含了关于这一问题的全面建议。防止数据被泄露，限制数据暴露的风险，确保数据的安全性。.

该控制机制涉及数据的分类以及数据通道的安全性保障。它还包括关于权限管理、访问控制等方面的指导。此外，它还涵盖了数据管理的相关措施，例如要求获得管理层批准才能进行大规模的数据传输。

8.12节还列出了一些用于记录数据以及检测安全漏洞的推荐工具。该章节建议企业使用能够跟踪数据风险并提醒安全团队注意不安全用户行为的系统。

监控活动

第8.16节涉及对网络资产进行监控，以预防安全事件的发生。根据ISO 27001标准，企业应当主动且持续地监控各项活动。ISO 27002则规定了实现这一目标的策略。

监控工作应该被定期进行。重点关注合规需求以及风险评估过程。这些要素包括审计系统、漏洞扫描、风险评估以及实时用户监控。组织应实施对数据的进出跟踪机制。相关工具应能够监控对业务应用程序或服务器的访问情况，并根据需要整合来自供应商的事件日志信息。

ISO 27002提供了相关建议/指导方针采用行为分析的方法通过将用户的行为与正常基线进行比较，当系统检测到可疑行为时，会发出警报。

网页过滤

ISO 27002中的控制条款8.23建议企业采取措施来限制对潜在危险互联网网站的访问。网络过滤器可以阻止员工访问可能包含恶意软件的网站，同时还可以降低遭遇网络钓鱼攻击的风险。

本部分中的安全技术包括IP地址过滤以及限制那些具备信息上传功能的网站。企业应使用各种技术手段来应对已知的威胁，并根据文本或图像数据来限制相关内容的使用。ISO 27002还将本部分与ISO 27001中的员工培训指南相结合。

安全的编码方式

ISO 27002的第8.28节旨在预防由以下原因导致的安全事件：编码不佳的、用于网页展示的资产需要特别关注的问题包括：输入验证或密钥生成系统的可靠性不足。

企业应将安全的编码原则应用到所有部门以及所有软件资产中，包括由第三方提供的软件。安全性方面也需要得到充分的保障。